Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información. Aceptar

Plataformas para practicar y aprender hacking ético

Martin Frias
  • Escrito por Martin Frias el 23 de Noviembre de 2020
  • 10 min de lectura Ethical hacking
Plataformas para practicar y aprender hacking ético

Cada día la ciberseguridad toma más relevancia en el mundo, no por nada Linkedin la cataloga como una profesión emergente de este 2020 en España y es que, la seguridad de los sistemas, redes y/o aplicaciones es completamente necesaria, hoy en día el mayor activo del mundo es la información y, ya que estos son lugares donde se maneja mucha de esta información que es su mayoría es de carácter crítico, es completamente necesario que existan profesionales capacitados para poder asegurar su integridad, confidencialidad y disponibilidad.

Es por eso que uno de los trabajos más demandados es el de Penetration Tester o de Hacker Ético, y sí, sé que te estarás preguntando ¿un hacker ético?, ¿un hacker no es un delincuente?, primero que todo no, no lo es, lamentablemente hay mucha desinformación y la mayoría de las personas creen que la palabra “hacker” es sinónimo de delincuente cuando no es así, los hackers usan su conocimiento sobre seguridad informática para el bien, bajo ningún concepto cometen delitos, los que sí usan su conocimiento sobre seguridad informática para cometer actos delictivos son los ciberdelincuentes, no hay que confundirlos.

Bien, como se puede apreciar, hay una enorme oportunidad laboral para todos aquellos a los que la ciberseguridad les apasione y si ese es tu caso, te estarás preguntando ¿cómo puedo aprender ciberseguridad? o ¿cómo puedo aprender hacking ético? Primero que todo, debes tener en cuenta que se debe ser muy autodidacta y sobre todo practicar, no solo limitarse a ver, se debe actuar y practicar, sin practica no se llegará lejos y es por eso que en este punto surge una duda muy común que tienen muchas personas, si el hacking es tan delicado ¿cómo puedo practicar de forma completamente legal? La respuesta es simple, actualmente existen varias plataformas para hackear máquinas de forma controlada y legal, estas plataformas te permiten por ejemplo, acceder por VPN a esas máquinas vulnerables que, usualmente cuentan con sistemas operativos Windows o Linux, que vienen preparadas para este objetivo y sirven para que puedas practicar tus habilidades en el área y sobre todo, mejorarlas.

La mayoría de estas máquinas son de estilo boot2root, que es la forma de llamar a una máquina que cuenta con ciertas vulnerabilidades a la cual, debemos enumerarla y aprovecharnos de esa o esas vulnerabilidades para obtener dos archivos conocidos como banderas, que son el user.txt (que se obtiene normalmente cuando acedemos como un usuario común a la máquina) y, el root.txt (que se obtiene cuando ya logramos escalar privilegios y obtenemos los permisos totales en la máquina), aunque también hay desafíos tipo CTF (Capture The Flag o Capturar la Bandera) que son desafíos donde se deben conseguir las banderas o flags, su principal diferencia con las máquinas boot2root es que estos desafíos no se limitan a una máquina que debe ser vulnerada y explotada, sino que pueden ser de varios tipos, están los de Ataque y Defensa, Jeropardy, Mixtos, etc. Los Jeropardy son los más vistos en las plataformas de las que hablaremos a continuación, ya que, incluyen desafíos de distintas temáticas, como por ejemplo:

  • Esteganografía
  • Hacking web
  • Criptografía
  • Ingeniería inversa
  • Análisis forense
  • Explotación
  • Programación
  • Análisis de paquetes

Como verás es un mundo enorme de posibilidades para practicar y aprender nuevas técnicas, así que vamos ahora a ver algunas plataformas que tienen tanto máquinas boot2root como desafíos CTF para que puedan empezar tu camino en el hacking ético, ten en cuenta que algunas de estas plataformas te dan “puntos” cada vez que logras hackear una máquina o completar un desafío y, a medida que acumulas puntos vas subiendo de rango, esto se reflejará en tu perfil en la plataforma y con ello podrás demostrar tu progreso a los demás, así que sin más, descubramos cuáles son estas plataformas:

HackTheBox:

Es una de las plataformas de entrenamiento de hacking más famosa actualmente, HackTheBox es, por decirlo, la más “profesional” de todas, yo te recomendaría que si estas iniciando en el hacking desde cero, intentes tener una base de conocimientos antes de querer entrar a esta plataforma, ya que aquí cada máquina es un mundo y las máquinas que se catalogan como “fáciles” en realidad para alguien que parte desde cero no lo serán. Esta plataforma cuenta actualmente con 205 máquinas (entre activas y retiradas) y 148 desafíos, si se quiere acceder a todas estas máquinas tanto activas como retiradas (las retiradas no te darán puntos al completarlas, pero sirven para practicar que es lo que importa) se debe comprar una suscripción que puede ser anual o mensual, aunque la parte gratuita de esta plataforma te permite conectarte a ciertas máquinas por VPN y tiene algunas limitaciones. Para registrarte en HackTheBox debes hacer un pequeño desafío inicial, que consiste en conseguir un código de invitación, para ello deberás pensar en cómo hacerlo e ir probando hasta conseguirlo, luego de conseguirlo si podrás crearte una cuenta:

Imagen HackTheBox

RootMe

Esta plataforma es parecida a HackTheBox, aunque es mucho más antigua y se enfoca más en los desafíos que en las máquinas, cuenta actualmente con 387 desafíos y 137 entornos virtuales que intentan simular al máximo entornos realistas, sus desafíos van desde lo más sencillo hasta algo más avanzado, es recomendable igualmente que pasa con HackTheBox, tener un poco de base para adentrarte en la plataforma. Esta plataforma tiene su parte gratuita y de pago, aunque de forma gratuita podrás acceder a muchos desafíos, pero si se quiere acceder a todos puedes comprar una suscripción, para registrarte solo debes rellenar el formulario que está en su página principal y estás dentro:

Imagen RootME

VulnHub

VulnHub en sí no es una plataforma a la cual te conectas y puedes empezar a practicar con máquinas que estén en una red, más bien es como un repositorio de máquinas vulnerables creadas por terceros, máquinas que puedes descargar y practicar con ellas en local (normalmente virtualizándolas). En esta plataforma te encontrarás dese máquinas muy sencillas, hasta máquinas que sirven como practica para certificaciones como la CEH o del calibre de la OSCP, la ventaja principal de esta plataforma es que, no hay que pagar nada, puedes descargar todas las máquinas que gustes, además que cada mes se suelen subir nuevas máquinas, por ende tienes un banco de máquinas vulnerables enorme para aprender, practicar y mejorar habilidades, de hecho, yo hice una máquina que fue subida a VulnHub hace poco, esta máquina está destinada a personas que se están introduciendo en el hacking ético, así que si es tu caso te invito a probarla:

Imagen VulnHub

TryHackMe

Y por último pero no por eso menos importante, hablaremos de TryHackMe, la plataforma que ha tomado mucha relevancia últimamente, esto se debe a que esta plataforma es la mejor para iniciar en el hacking ético, ya que, cuenta actualmente con 264 máquinas a los que ellos llaman “rooms”, nosotros les llamaremos “salas”, la ventaja principal que tiene TryHackMe es que muchas de esas salas son de forma guiada, es decir, son tutoriales donde te van explicando paso a paso como hackear una máquina en cuestión, estos tutoriales no se limitan a solamente máquinas, también hay sobre uso de sistemas Linux, herramientas de hacking ético, programación, Google hacking, explotación de vulnerabilidades web y muchas más. Esta plataforma tiene su parte gratuita, que te da acceso a muchas de estas salas (tanto las que son guiadas como las que no), a las cuales puedes conectarte por VPN si es necesario y, su parte de pago que es una suscripción mensual o anual te da acceso a todas las salas, que mensualmente se van incrementando, en definitiva, es una de las mejores plataformas de cara a empezar a practicar hacking ético desde cero.

Imagen TryHackMe

¿Cómo empezar en TryHackMe?

Ya que TryHackMe es una de las mejores alternativas para empezar en el hacking ético desde cero, veremos ahora como nos podemos registrar en esta plataforma y, haremos un breve recorrido por lo que ofrece.

Primero nos registramos, se puede hacer desde aquí:

Imagen TryHackMe 1

Una vez registrados y habiendo confirmado el mensaje que nos llega al correo electrónico que se puso en el registro, se tendrá acceso a la plataforma, esta es la vista general, con una breve descripción de los elementos:

Imagen TryHackMe 2

Como se ve, hay una buena cantidad de apartados así que tocaremos los apartados más importantes, como lo son las salas, los pathways o rutas de aprendizaje, el ranking, el KoTH y el perfil del usuario.
Las salas son lo que comentábamos antes, desafíos o máquinas que pueden ser guiadas o no, para acceder a ellas, hay que irse a el apartado “Learn”, luego irse a “Hacktivities” y ahí se podrán ver todas las salas que hay actualmente, se pueden filtrar de distintas formas, por ejemplo, si son gratuitas o de pago, si es guiada o no, por fecha de publicación, dificultad o de la temática de que se trate, también se puede filtrar para no solo ver las salas sino también las series (conjunto de salas), salas destacadas o videos sobre resoluciones de salas en específico:

Imagen TryHackMe 3

Ahora, en el mismo apartado de “Learn”, también se ve algo llamado “Pathways” estas son las rutas de aprendizaje que recomienda TryHackMe dependiendo el objetivo que se quiera lograr, básicamente son un conjunto de salas que TryHackMe agrupa en función de lo que pueda aportarte en conocimientos para lograr ese objetivo, estas rutas de aprendizaje van desde rutas para principiantes hasta rutas de preparación para certificaciones como OSCP y Pentest+:

Imagen TryHackMe 4

Por otro lado, en el apartado “Complete” se ven dos opciones, una es el “Leaderboards” o la tabla de clasificación de la plataforma, que se puede filtrar por países o de forma global, donde el número 1 de esa tabla será el usuario que tiene más puntos en ese momento en la plataforma o si se filtra por país, el número 1 será el usuario que tiene más puntos en la plataforma y que es de ese país, aunque también se puede filtrar por mes, así el número 1 de la tabla será el usuario que más puntos haya hecho ese mes:

Imagen TryHackMe 5

Luego, el siguiente apartado es “King of the Hill”, esta es una característica muy atractiva de TryHackMe, el King of the Hill es un tipo de CTF de tipo ataque y luego defiende, que dura 60 minutos, aquí se puede competir con otros usuarios en tiempo real, donde el objetivo es que se hackee una máquina y una vez conseguido el acceso como root debes escribir tu nick en un archivo de texto (esto hará que la plataforma sepa que ya se ha vulnerado la máquina y quien lo ha hecho, cuando lo haces te conviertes en el “rey”), luego debes parchear las vulnerabilidades que esta tenga la máquina para así evitar que los demás competidores puedan acceder a ella, ya que cada minuto que pasa desde que te conviertes en el “rey” son minutos en los que te van dando puntos, aunque también puedes conseguir puntos sin ser el “rey” buscando las banderas (flags) que están ocultas en la máquina:

Imagen TryHackMe 6

Finalmente pasamos al apartado del perfil del usuario, para ir ahí se debe hacer clic en el círculo que está en la parte superior derecha, al hacer clic se verá que se puede ir tanto al perfil, ver los badges obtenidos (algunas salas dan insignias de recompensa por haberlas completado, estas insignias saldrán en tu perfil), las salas a las que te has inscrito, la opción para descargar tu archivo .ovpn y poder conectarte por VPN a las máquinas y demás opciones. Nos centraremos en la primera, la de perfil, al hacer clic se puede ver un panel para configurar la información del perfil con distintas opciones, desde modificar el correo, la imagen, el país, hasta poder agregar tus redes sociales que posteriormente se mostrarán en la vista pública del perfil:

Imagen TryHackMe 7

En la parte superior derecha se puede ver un botón azul que, al hacer clic te redirigirá a la vista de tu perfil público:

Imagen TryHackMe 8

Como se pudo ver, TryHackMe es una excelente plataforma para iniciar en el hacking ético desde cero, aunque si lo que quieres es tener una base antes de entrar a TryHackMe para que se te sea más fácil asimilar los conceptos que ahí se verán, puedes optar por tomar el Curso de introducción a Ethical Hacking o, si prefieres profundizar aún más en el tema y formarte a la par que practicas en TryHackMe, puedes ver todo el catálogo de cursos de ciberseguridad y decantarte por los que te sirvan.

Relacionado

Te dejamos una selección de cursos, carreras y artículos

Curso de introducción a la Ciberseguridad

Curso de introducción a la Ciberseguridad

curso

Con este curso aprenderás:

  • Conceptos básicos de ciberseguridad.
  • Objetivos de una estrategia de ciberseguridad.
  • Elementos que componen una estrategia de ciberseguridad.

Duración: 4 horas y 57 segundos

Curso de introducción a Ethical Hacking

Curso de introducción a Ethical Hacking

curso

Con este curso aprenderás:

  • Saber en qué consiste la Seguridad de la información y su importancia en empresas
  • Descubrir Nmap y sus parámetros
  • Ataques SQL Injection

Duración: 5 horas y 50 minutos

Tendencias en ciberseguridad para 2020

Tendencias en ciberseguridad para 2020

Ethical hacking

16 de Junio de 2020

En este artículo te contamos las tendencias en Ciberseguridad más importantes en 2020, además del estado actual y el futuro de esta disciplina.

Más de 300 empresas confían en nosotros

Oesia
Vass
Everis
Ayesa
Altran
Ibermatica
Atmira
GFI
Accenture
GMV
Concatel
Telefonica
Caser
Banco de España
kpmg
Mapfre
Randstad